Asosiasi penjadwalan Membuat asosiasi (konsol)Membuat asosiasi (baris perintah)

Membuat asosiasi

State Manager, alat di AWS Systems Manager, membantu Anda menjaga AWS sumber daya Anda dalam keadaan yang Anda tentukan dan mengurangi penyimpangan konfigurasi. Untuk melakukan ini, State Manager menggunakan asosiasi. Asosiasi adalah konfigurasi yang Anda tetapkan ke AWS sumber daya Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada sumber daya Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada node terkelola, atau port tertentu harus ditutup.

Asosiasi menentukan jadwal kapan harus menerapkan konfigurasi dan target untuk asosiasi. Misalnya, asosiasi untuk perangkat lunak antivirus dapat berjalan sekali sehari pada semua node yang dikelola dalam file Akun AWS. Jika perangkat lunak tidak diinstal pada node, maka asosiasi dapat menginstruksikan State Manager untuk menginstalnya. Jika perangkat lunak diinstal, tetapi layanan tidak berjalan, maka asosiasi dapat menginstruksikan State Manager untuk memulai layanan.

Awas

Saat membuat asosiasi, Anda dapat memilih grup AWS sumber daya dari node terkelola sebagai target untuk asosiasi. Jika pengguna, grup, atau peran AWS Identity and Access Management (IAM) memiliki izin untuk membuat asosiasi yang menargetkan grup sumber daya dari node terkelola, maka pengguna, grup, atau peran tersebut secara otomatis memiliki kontrol tingkat root dari semua node dalam grup. Izinkan hanya administrator tepercaya untuk membuat asosiasi.

Target asosiasi dan kontrol tarif

Asosiasi menentukan node terkelola, atau target, yang harus menerima asosiasi. State Manager menyertakan beberapa fitur untuk membantu Anda menargetkan node terkelola dan mengontrol bagaimana asosiasi diterapkan ke target tersebut. Untuk informasi selengkapnya tentang pengendalian target dan rate, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

Asosiasi penandaan

Anda dapat menetapkan tag ke asosiasi saat Anda membuatnya dengan menggunakan alat baris perintah seperti AWS CLI or AWS Tools for PowerShell. Menambahkan tag ke asosiasi menggunakan konsol Systems Manager tidak didukung.

Menjalankan asosiasi

Secara default, State Manager menjalankan asosiasi segera setelah Anda membuatnya, dan kemudian sesuai dengan jadwal yang telah Anda tentukan.

Sistem ini juga menjalankan asosiasi sesuai dengan aturan berikut:

State Manager mencoba untuk menjalankan asosiasi pada semua node yang ditentukan atau ditargetkan selama interval.
Jika asosiasi tidak berjalan selama interval (karena, misalnya, nilai konkurensi membatasi jumlah node yang dapat memproses asosiasi pada satu waktu), maka State Manager mencoba untuk menjalankan asosiasi selama interval berikutnya.
State Manager menjalankan asosiasi setelah perubahan pada konfigurasi asosiasi, node target, dokumen, atau parameter. Untuk informasi selengkapnya, silakan lihat Memahami kapan asosiasi diterapkan pada sumber daya
State Manager mencatat riwayat untuk semua interval yang dilewati. Anda dapat melihat riwayat di tab Riwayat Eksekusi.

Asosiasi penjadwalan

Anda dapat menjadwalkan asosiasi untuk dijalankan pada interval dasar seperti setiap 10 jam, atau Anda dapat membuat jadwal yang lebih maju menggunakan ekspresi cron dan rate kustom. Anda juga dapat mencegah asosiasi berjalan saat pertama kali membuatnya.

Menggunakan ekspresi cron dan rate untuk menjadwalkan proses asosiasi

Selain ekspresi cron dan rate standar, State Manager juga mendukung ekspresi cron yang mencakup hari dalam seminggu dan tanda angka (#) untuk menunjuk hari ke-n dalam sebulan untuk menjalankan asosiasi. Berikut adalah contoh yang menjalankan jadwal cron pada hari Selasa ketiga setiap bulan pukul 23:30 UTC:

cron(30 23 ? * TUE#3 *)

Berikut adalah contoh yang berjalan pada hari Kamis kedua setiap bulan pada tengah malam UTC:

cron(0 0 ? * THU#2 *)

State Manager juga mendukung tanda (L) untuk menunjukkan hari X terakhir setiap bulan. Berikut adalah contoh yang menjalankan jadwal cron pada hari Selasa terakhir setiap bulan pada tengah malam UTC:

cron(0 0 ? * 3L *)

Untuk mengontrol lebih lanjut saat asosiasi berjalan, misalnya jika Anda ingin menjalankan asosiasi dua hari setelah patch Selasa, Anda dapat menentukan offset. Offset mendefinisikan berapa hari untuk menunggu setelah hari yang dijadwalkan untuk menjalankan asosiasi. Misalnya, jika Anda menentukan jadwal croncron(0 0 ? * THU#2 *), Anda dapat menentukan angka 3 di bidang Offset Jadwal untuk menjalankan asosiasi setiap hari Minggu setelah Kamis kedua setiap bulan.

catatan

Untuk menggunakan offset, Anda harus memilih Terapkan asosiasi hanya pada interval Cron yang ditentukan berikutnya di konsol atau tentukan ApplyOnlyAtCronInterval parameter dari baris perintah. Ketika salah satu dari opsi ini diaktifkan, State Manager tidak menjalankan asosiasi segera setelah Anda membuatnya.

Untuk informasi selengkapnya tentang ekspresi cron dan rate, lihat Referensi: Ekspresi cron dan rate untuk Systems Manager.

Membuat asosiasi (konsol)

Prosedur berikut menjelaskan cara menggunakan konsol Systems Manager untuk membuat State Manager asosiasi.

penting

Prosedur ini menjelaskan cara membuat asosiasi yang menggunakan salah satu Command atau Policy dokumen untuk menargetkan node terkelola. Untuk informasi tentang membuat asosiasi yang menggunakan runbook Otomasi untuk menargetkan node atau jenis AWS sumber daya lainnya, lihatMenjadwalkan otomatisasi dengan State Manager asosiasi.

Untuk membuat State Manager asosiasi

Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.
Di panel navigasi, pilih State Manager.
Pilih Buat asosiasi.
Di bidang Nama, tentukan nama.
Di daftar Dokumen, pilih opsi di samping nama dokumen. Perhatikan tipe dokumen. Prosedur ini berlaku untuk dokumen Command dan Policy. Untuk informasi tentang membuat asosiasi yang menggunakan runbook Otomatisasi, lihat Menjadwalkan otomatisasi dengan State Manager asosiasi.

penting
State Manager tidak mendukung asosiasi berjalan yang menggunakan versi baru dokumen jika dokumen tersebut dibagikan dari akun lain. State Manager selalu menjalankan default versi dokumen jika dibagikan dari akun lain, meskipun konsol Systems Manager menunjukkan bahwa versi baru telah diproses. Jika Anda ingin menjalankan asosiasi menggunakan versi baru dokumen yang dibagikan dari akun lain, Anda harus menyetel versi dokumen kedefault.
Untuk Parameter, tentukan parameter input yang diperlukan.
(Opsional) Pilih CloudWatch alarm untuk diterapkan ke asosiasi Anda untuk pemantauan.
catatan
Perhatikan informasi berikut tentang langkah ini.
- Daftar alarm menampilkan maksimal 100 alarm. Jika Anda tidak melihat alarm dalam daftar, gunakan tombol AWS Command Line Interface untuk membuat asosiasi. Untuk informasi selengkapnya, lihat Membuat asosiasi (baris perintah).
- Untuk melampirkan CloudWatch alarm ke perintah Anda, kepala sekolah IAM yang membuat asosiasi harus memiliki izin untuk iam:createServiceLinkedRole tindakan tersebut. Untuk informasi selengkapnya tentang CloudWatch alarm, lihat Menggunakan CloudWatch alarm Amazon.
- Jika alarm Anda aktif, pemanggilan atau otomatisasi perintah yang tertunda tidak berjalan.
Untuk Target, pilih satu opsi. Untuk informasi tentang menggunakan target, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

catatan
Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan ketika node target baru terdeteksi, kondisi tertentu harus dipenuhi. Untuk informasi, lihat Tentang pembaruan target dengan runbook Otomasi.
Di bagian Tentukan jadwal, pilih Sesuai Jadwal atau Tidak ada jadwal. Jika Anda memilih Sesuai Jadwal, gunakan tombol yang disediakan untuk membuat cron atau jadwal rate untuk asosiasi.

Jika Anda tidak ingin asosiasi segera berjalan setelah Anda membuatnya, pilih Terapkan asosiasi hanya pada interval Cron yang ditentukan berikutnya.
(Opsional) Di bidang Offset jadwal, tentukan angka antara 1 dan 6.
Di bagian Opsi lanjutan gunakan Keparahan Kepatuhan untuk memilih tingkat keparahan untuk asosiasi dan gunakan Ubah Kalender untuk memilih perubahan kalender untuk asosiasi.

Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak, bersama dengan tingkat keparahan yang Anda tunjukkan di sini. Untuk informasi selengkapnya, lihat Tentang State Manager kepatuhan asosiasi.

Kalender perubahan menentukan kapan asosiasi berjalan. Jika kalender ditutup, asosiasi tidak akan diterapkan. Jika kalendar dibuka, asosiasi berjalan dengan sesuai. Untuk informasi selengkapnya, lihat AWS Systems Manager Change Calendar.
Di bagian Rate control, pilih opsi untuk mengontrol bagaimana asosiasi berjalan pada beberapa node. Untuk informasi lebih lanjut tentang menggunakan kontrol rate, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

Di bagian Konkurensi, pilih satu opsi:
- Pilih target untuk memasukkan jumlah absolut dari target yang dapat menjalankan asosiasi secara bersamaan.
- Pilih persentase untuk memasukkan persentase dari kumpulan target yang dapat menjalankan asosiasi secara bersamaan.
Di bagian Batas kesalahan, pilih opsi:
- Pilih kesalahan untuk memasukkan jumlah absolut kesalahan yang diizinkan sebelumnya State Manager berhenti menjalankan asosiasi pada target tambahan.
- Pilih persentase untuk memasukkan persentase kesalahan yang diizinkan sebelumnya State Manager berhenti menjalankan asosiasi pada target tambahan.
(Opsional) Untuk Opsi output, untuk menyimpan output perintah ke file, pilih kotak Aktifkan output penulisan ke S3. Masukkan nama bucket dan prefiks (folder) di dalam kotak.

catatan
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager atau Membuat peran layanan IAM untuk lingkungan hibrid. Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

Berikut ini adalah izin minimal yang diperlukan untuk mengaktifkan output Amazon S3 untuk asosiasi. Anda dapat membatasi akses lebih lanjut dengan melampirkan kebijakan IAM ke pengguna atau peran dalam akun. Minimal, profil EC2 instans Amazon harus memiliki peran IAM dengan kebijakan AmazonSSMManagedInstanceCore terkelola dan kebijakan sebaris berikut.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
```
Untuk izin minimal, bucket Amazon S3 yang Anda ekspor harus memiliki pengaturan default yang ditentukan oleh konsol Amazon S3. Untuk informasi selengkapnya tentang pembuatan bucket Amazon S3, lihat Membuat bucket dalam Panduan Pengguna Amazon S3.

catatan
Operasi API yang diprakarsai oleh dokumen SSM selama proses asosiasi tidak masuk. AWS CloudTrail
Pilih Buat Asosiasi.

catatan

Jika Anda menghapus asosiasi yang Anda buat, asosiasi tidak lagi berjalan pada setiap target dari asosiasi tersebut.

Membuat asosiasi (baris perintah)

Prosedur berikut menjelaskan cara menggunakan AWS CLI (di Linux atau Windows) atau Alat PowerShell untuk membuat State Manager asosiasi. Bagian ini mencakup beberapa contoh yang menunjukkan bagaimana menggunakan target dan kontrol rate. Target dan kontrol tingkat memungkinkan Anda menetapkan asosiasi ke lusinan atau ratusan node sambil mengontrol eksekusi asosiasi tersebut. Untuk informasi selengkapnya tentang pengendalian target dan rate, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

penting

Sebelum Anda mulai

targetsParameter adalah array kriteria pencarian yang menargetkan node menggunakan Value kombinasiKey, yang Anda tentukan. Jika Anda berencana untuk membuat asosiasi pada lusinan atau ratusan node dengan menggunakan targets parameter, tinjau opsi penargetan berikut sebelum memulai prosedur.

Targetkan node tertentu dengan menentukan IDs


--targets Key=InstanceIds,Values=instance-id-1,instance-id-2,instance-id-3


--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE,i-07782c72faEXAMPLE

Instance target dengan menggunakan tag


--targets Key=tag:tag-key,Values=tag-value-1,tag-value-2,tag-value-3


--targets Key=tag:Environment,Values=Development,Test,Pre-production

Target node dengan menggunakan AWS Resource Groups


--targets Key=resource-groups:Name,Values=resource-group-name


--targets Key=resource-groups:Name,Values=WindowsInstancesGroup

Targetkan semua instance saat Akun AWS ini dan Wilayah AWS


--targets Key=InstanceIds,Values=*

catatan

Perhatikan informasi berikut.

State Manager tidak mendukung asosiasi berjalan yang menggunakan versi baru dokumen jika dokumen tersebut dibagikan dari akun lain. State Manager selalu menjalankan default versi dokumen jika dibagikan dari akun lain, meskipun konsol Systems Manager menunjukkan bahwa versi baru telah diproses. Jika Anda ingin menjalankan asosiasi menggunakan versi baru dokumen yang dibagikan dari akun lain, Anda harus menyetel versi dokumen kedefault.
Anda dapat menentukan maksimal lima kunci tag dengan menggunakan AWS CLI. Jika Anda menggunakan AWS CLI, semua kunci tag yang ditentukan dalam create-association perintah harus saat ini ditetapkan ke node. Jika mereka tidak, State Manager gagal menargetkan node untuk asosiasi.
Saat Anda membuat asosiasi, Anda menentukan kapan jadwal berjalan. Tentukan jadwal dengan menggunakan ekspresi cron atau rate. Untuk informasi selengkapnya tentang ekspresi cron dan rate, lihat Ekspresi cron dan rate untuk associate.
Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan ketika node target baru terdeteksi, kondisi tertentu harus dipenuhi. Untuk informasi, lihat Tentang pembaruan target dengan runbook Otomasi.

Untuk membuat asosiasi

Instal dan konfigurasikan AWS CLI atau AWS Tools for PowerShell, jika Anda belum melakukannya.

Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI dan Menginstal AWS Tools for PowerShell.

Gunakan format berikut untuk membuat perintah yang membuat State Manager asosiasi. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

Linux & macOS


aws ssm create-association \
    --name document_name \
    --document-version version_of_document_applied \
    --instance-id instances_to_apply_association_on \
    --parameters (if any) \
    --targets target_options \
    --schedule-expression "cron_or_rate_expression" \
    --apply-only-at-cron-interval required_parameter_for_schedule_offsets \
    --schedule-offset number_between_1_and_6 \
    --output-location s3_bucket_to_store_output_details \
    --association-name association_name \
    --max-errors a_number_of_errors_or_a_percentage_of_target_set \
    --max-concurrency a_number_of_instances_or_a_percentage_of_target_set \
    --compliance-severity severity_level \
    --calendar-names change_calendar_names \
    --target-locations aws_region_or_account \
    --tags "Key=tag_key,Value=tag_value"

Windows


aws ssm create-association ^
    --name document_name ^
    --document-version version_of_document_applied ^
    --instance-id instances_to_apply_association_on ^
    --parameters (if any) ^
    --targets target_options ^
    --schedule-expression "cron_or_rate_expression" ^
    --apply-only-at-cron-interval required_parameter_for_schedule_offsets ^
    --schedule-offset number_between_1_and_6 ^
    --output-location s3_bucket_to_store_output_details ^
    --association-name association_name ^
    --max-errors a_number_of_errors_or_a_percentage_of_target_set ^
    --max-concurrency a_number_of_instances_or_a_percentage_of_target_set ^
    --compliance-severity severity_level ^
    --calendar-names change_calendar_names ^
    --target-locations aws_region_or_account ^
    --tags "Key=tag_key,Value=tag_value"

PowerShell


New-SSMAssociation `
    -Name document_name `
    -DocumentVersion version_of_document_applied `
    -InstanceId instances_to_apply_association_on `
    -Parameters (if any) `
    -Target target_options `
    -ScheduleExpression "cron_or_rate_expression" `
    -ApplyOnlyAtCronInterval required_parameter_for_schedule_offsets `
    -ScheduleOffSet number_between_1_and_6 `
    -OutputLocation s3_bucket_to_store_output_details `
    -AssociationName association_name `
    -MaxError  a_number_of_errors_or_a_percentage_of_target_set
    -MaxConcurrency a_number_of_instances_or_a_percentage_of_target_set `
    -ComplianceSeverity severity_level `
    -CalendarNames change_calendar_names `
    -TargetLocations aws_region_or_account `
    -Tags "Key=tag_key,Value=tag_value"

Contoh berikut membuat asosiasi pada node yang ditandai dengan"Environment,Linux". Asosiasi menggunakan AWS-UpdateSSMAgent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan pada 2:00 UTC setiap Minggu pagi. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium.

Contoh berikut menargetkan node IDs dengan menentukan nilai wildcard (*). Hal ini memungkinkan Systems Manager untuk membuat asosiasi pada semua node di saat ini Akun AWS dan Wilayah AWS. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium. Asosiasi ini menggunakan offset jadwal, yang berarti berjalan dua hari setelah jadwal cron yang ditentukan. Ini juga mencakup ApplyOnlyAtCronInterval parameter, yang diperlukan untuk menggunakan offset jadwal dan yang berarti asosiasi tidak akan berjalan segera setelah dibuat.

Contoh berikut membuat asosiasi pada node di Resource Groups. Grup ini diberi nama "HR-Department". Asosiasi menggunakan AWS-UpdateSSMAgent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan pada 2:00 UTC setiap Minggu pagi. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium. Asosiasi ini berjalan pada jadwal cron yang ditentukan. Ini tidak segera berjalan setelah asosiasi dibuat.

Contoh berikut membuat asosiasi yang berjalan pada node ditandai dengan ID node tertentu. Asosiasi menggunakan SSM Agent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan sekali saat kalender perubahan terbuka. Asosiasi memeriksa status kalender saat dijalankan. Jika kalender ditutup pada waktu peluncuran dan asosiasi hanya dijalankan sekali, asosiasi tidak akan berjalan lagi karena jendela berjalan asosiasi telah berlalu. Jika kalendar dibuka, asosiasi berjalan dengan sesuai.

catatan

Jika Anda menambahkan node baru ke tag atau grup sumber daya yang ditindaklanjuti asosiasi saat kalender perubahan ditutup, asosiasi akan diterapkan ke node tersebut setelah kalender perubahan terbuka.

Contoh berikut membuat asosiasi yang berjalan pada node ditandai dengan ID node tertentu. Asosiasi menggunakan SSM Agent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan pada node yang ditargetkan pada pukul 2:00 pagi setiap hari Minggu. Asosiasi ini hanya berjalan pada jadwal cron yang ditentukan saat kalender perubahan terbuka. Ketika asosiasi dibuat, asosisasi memeriksa status kalender. Jika kalender ditutup, asosiasi tidak akan diterapkan. Ketika interval untuk menerapkan asosiasi dimulai pada 2:00 AM pada hari Minggu, asosiasi memeriksa untuk melihat apakah kalender terbuka. Jika kalendar dibuka, asosiasi berjalan dengan sesuai.

catatan

Jika Anda menambahkan node baru ke tag atau grup sumber daya yang ditindak asosiasi saat kalender perubahan ditutup, asosiasi diterapkan ke node tersebut setelah kalender perubahan terbuka.

catatan

Jika Anda menghapus asosiasi yang Anda buat, asosiasi tidak lagi berjalan pada setiap target dari asosiasi tersebut. Juga, jika Anda menentukan parameter apply-only-at-cron-interval, Anda dapat mengatur ulang opsi ini. Untuk melakukannya, tentukan parameter no-apply-only-at-cron-interval saat Anda memperbarui asosiasi dari baris perintah. Parameter ini memaksa asosiasi untuk berjalan segera setelah memperbarui asosiasi dan sesuai dengan interval yang ditentukan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memahami target dan kontrol tingkat

Mengedit asosiasi